胡耘通（博士生導師）

伴隨著數(shù)字經(jīng)濟的迅猛發(fā)展、數(shù)字社會的積極建立，數(shù)據(jù)逐漸成為一種新型生產(chǎn)要素，數(shù)據(jù)安全也越發(fā)重要，而個人信息的數(shù)據(jù)保護已然成為整個數(shù)據(jù)安全體系的核心和基礎(chǔ)。在持續(xù)推進數(shù)字中國建設(shè)的戰(zhàn)略背景之下，《個人信息保護法》首次以法律形式明確了個人信息保護合規(guī)審計，具有非常重大的現(xiàn)實意義（陳智敏，2022）。但奇安信行業(yè)安全研究中心等單位聯(lián)合發(fā)布的《中國政企機構(gòu)數(shù)據(jù)安全風險分析報告》顯示，個人信息數(shù)據(jù)被泄露的案件最多，2022 年3 ～9 月，全國約有868.8億條個人信息數(shù)據(jù)被泄露，相當于平均每人有62 條個人信息數(shù)據(jù)被以各種方式盜取、泄露，個人信息的數(shù)據(jù)安全保障情況堪憂。為回應(yīng)現(xiàn)實的緊迫情勢，我國近年來陸續(xù)頒布《數(shù)據(jù)安全法》《個人信息保護法》等專門法律法規(guī)，為數(shù)據(jù)安全以及合規(guī)管理工作的依法開展提供了法定依據(jù)。與此同時，合規(guī)審計也成為一種新型的數(shù)據(jù)（信息）安全治理手段?！秱€人信息保護法》第54、64 條分別明確了個人信息處理的自主審計及監(jiān)管要求審計①；《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第53、58條分別明確了年度審計及國家建立數(shù)據(jù)安全審計制度②?？梢?，在全面依法治國背景下，數(shù)據(jù)（信息）安全合規(guī)審計制度的建立完善是良法善治的必然要求。未來，個人信息保護合規(guī)審計將是一項常態(tài)化、持續(xù)性的制度工作。2023 年8 月，《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（簡稱《征求意見稿》）具體落實了《個人信息保護法》第54、64條關(guān)于個人信息保護合規(guī)審計的條款，為合規(guī)審計工作制定了具體的執(zhí)行規(guī)則，將填補自《個人信息保護法》規(guī)定合規(guī)審計機制以來相關(guān)下位規(guī)范的空白。

一、《征求意見稿》的積極意義

《個人信息保護法》自2021年11月施行以來，針對個人信息保護的監(jiān)管力度不斷加大，公民個人的信息保護意識也顯著提升，濫用個人信息、侵犯個人信息權(quán)益等問題得到較大改善?！墩髑笠庖姼濉窂牧⒎康?、審計定義、審計對象、審計機構(gòu)、審計啟動、審計時限、獨立性要求等方面進行了全面的規(guī)范，并發(fā)布了《合規(guī)審計參考要點》，為實際工作提供了操作指南。而加強個人信息保護，除強化法治宣傳以厘清個人在信息處理活動中的權(quán)利、明確個人信息處理者的義務(wù)外，合規(guī)審計不失為一件防范和控制個人信息處理風險的“利器”?！墩髑笠庖姼濉钒l(fā)布的目的就在于通過合規(guī)審計“提高個人信息處理活動合規(guī)水平，保護個人信息權(quán)益”。美國會計學家梅格斯曾言，我們正生活在一個履行受托責任的偉大時期。受托責任不僅是一種普遍的經(jīng)濟關(guān)系，更是一種非靜止的社會活動關(guān)系?；谑芡胸熑侮P(guān)系，個人信息處理者處理個人信息，但源于信息非對稱等矛盾，個人為避免或減少由此帶來的損害，會對個人信息處理活動產(chǎn)生監(jiān)督需求，合規(guī)審計恰是對個人信息處理活動監(jiān)督需求的回應(yīng)方式之一。個人信息保護合規(guī)審計通過審查、評價個人信息處理活動與法律法規(guī)、國家規(guī)定等相關(guān)標準的一致程度，揭示個人信息處理者的不合規(guī)或者違規(guī)情形，并按照相關(guān)規(guī)定予以披露、問責。由此不僅能提高個人信息處理活動的質(zhì)量和保障水平，而且有助于減輕個人信息權(quán)益上的損害（陳炎，2022）。目前，個人信息保護合規(guī)審計僅處于探索階段，個人信息處理者對合規(guī)性、審計流程的理解判斷不一?？傮w而言，合規(guī)審計不僅是個人信息處理者實施自我治理、自我監(jiān)督的必要工具，也是監(jiān)管部門監(jiān)督個人信息處理者行為的重要方式。本質(zhì)上，個人信息保護合規(guī)審計被視為對個人信息處理者針對個人信息處理、保護情形的功能性“體檢”，對個人信息處理者開展合規(guī)審計、建立多層次的個人信息保護體系、提升個人信息保護能力具有顯著效果。

二、擴充合規(guī)審計的評價依據(jù)

評價依據(jù)是合規(guī)審計工作的前提，要想通過合規(guī)審計工作得出適當?shù)慕Y(jié)論意見，就必須遵循科學、合理的評價依據(jù)?！墩髑笠庖姼濉返? 條指出，“本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動”。該條規(guī)定除明確合規(guī)審計定義外，還提出了審查和評價的依據(jù)——“法律、行政法規(guī)”?！秱€人信息保護法》第51 條要求“個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定……”；第54 條指出，“個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”?？梢姟秱€人信息保護法》僅明確了個人信息處理活動遵守、符合“法律、行政法規(guī)”的要求，但《征求意見稿》的審計評價依據(jù)是否限于“法律、行政法規(guī)”，評價標準的范圍是否較窄？值得進一步考量。

與此近似，《審計法》第3條規(guī)定“審計機關(guān)依據(jù)有關(guān)財政收支、財務(wù)收支的法律、法規(guī)和國家其他有關(guān)規(guī)定進行審計評價”；《中國注冊會計師審計準則第150號——對財務(wù)報表形成審計意見和出具審計報告》第11 條明確指出“注冊會計師應(yīng)當就財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告編制基礎(chǔ)的規(guī)定編制并實現(xiàn)公允反映形成審計意見”，此處的“財務(wù)報告編制基礎(chǔ)”就是評價依據(jù)?！胺?、行政法規(guī)”是否能夠涵蓋所有個人信息處理活動的全部標準？換句話說，其他法規(guī)或者國家規(guī)定是否會對個人信息處理活動進行規(guī)定？例如，《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》屬于部門規(guī)章，當涉及兒童個人信息處理活動時，審計評價是否需要遵循？另外，《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）、《信息安全技術(shù)個人信息安全影響評估指南》（GB/T 39335-2020）等國家標準，是否屬于合規(guī)審計的評價依據(jù)？實際上，隨著數(shù)據(jù)信息保護的縱深發(fā)展，醫(yī)療、金融、汽車等不同行業(yè)的監(jiān)管部門亦會制定相關(guān)準則，合規(guī)審計也應(yīng)當遵從行業(yè)準則中設(shè)置的關(guān)于個人信息保護義務(wù)、責任方面的標準規(guī)定。按照循序漸進的原理，地方性法規(guī)、地方規(guī)章及其他國家規(guī)定應(yīng)當成為審計評價依據(jù)。因此，建議將《審計法》第3 條修改為“本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、法規(guī)和國家其他有關(guān)規(guī)定的情況進行審查和評價的監(jiān)督活動”。當然，國家其他規(guī)定還應(yīng)當涵蓋行業(yè)標準、地方標準等，具體適用于某個行業(yè)、某個區(qū)域的個人信息保護合規(guī)審計工作。

三、增加法律責任條款設(shè)置

法律責任是保障法律規(guī)范有效落實的重要環(huán)節(jié)?！墩髑笠庖姼濉穬H在第15 條明確規(guī)定，“違反本辦法規(guī)定的，依據(jù)《個人信息保護法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責任”。但《個人信息保護法》也缺乏相關(guān)主體的法律責任條款，包括專業(yè)機構(gòu)以及個人信息處理者的某些違法行為，均沒有設(shè)置法律責任條款。以專業(yè)機構(gòu)為例，《征求意見稿》第14條明確了其從事合規(guī)審計活動中應(yīng)當履行的義務(wù)，但未規(guī)定對應(yīng)的法律責任條款，如果專業(yè)機構(gòu)不能“誠信正直、公正客觀地作出合規(guī)審計職業(yè)判斷”，應(yīng)如何承擔法律責任？如果專業(yè)機構(gòu)“有出具虛假、失實報告等違規(guī)行為的”，僅是“永久禁止列入個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄”，則法律責任與違法行為并不匹配。此外，《征求意見稿》第8條明確規(guī)定個人信息處理者“應(yīng)當保證專業(yè)機構(gòu)能夠正常行使下列權(quán)限……”，如果個人信息處理者違反該規(guī)定、出現(xiàn)不提供或者協(xié)助查閱相關(guān)文件或資料的情況，應(yīng)如何追究相應(yīng)的法律責任，也缺乏規(guī)定。再如，《征求意見稿》第7 條指出，“個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的，應(yīng)當在收到通知后盡快按照要求選定專業(yè)機構(gòu)進行個人信息保護合規(guī)審計”。這里的“盡快”含義并不明確，且對于沒有“盡快”進行合規(guī)審計的行為，也缺乏針對個人信息處理者的違法責任條款。

“沒有無權(quán)利的義務(wù)，也沒有無義務(wù)的權(quán)利”?；跈?quán)利義務(wù)相一致的基本理念，針對專業(yè)機構(gòu)以及個人信息處理者的違法行為，筆者建議增補相應(yīng)的法律責任條款。例如，如果個人信息處理者違反《征求意見稿》第7、8 條規(guī)定，不能盡快進行合規(guī)審計的、不能保證專業(yè)機構(gòu)正常行使權(quán)限的，履行個人信息保護職責的部門（簡稱“監(jiān)管部門”）應(yīng)當“責令改正，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。如果專業(yè)機構(gòu)違反《征求意見稿》第14 條規(guī)定，出現(xiàn)不能“誠信正直、公正客觀地作出合規(guī)審計職業(yè)判斷”“轉(zhuǎn)包委托第三方開展個人信息保護合規(guī)審計”等情形，監(jiān)管部門應(yīng)當“責令改正，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。當然，如果專業(yè)機構(gòu)有出具虛假、失實報告等行為并構(gòu)成犯罪的，則追究相應(yīng)的刑事法律責任。

四、消除民事法律關(guān)系行政傾向

無論是自主實施審計，還是監(jiān)管要求審計，個人信息處理者與專業(yè)機構(gòu)之間均是基于合同而建立的民事法律關(guān)系，應(yīng)當首先符合民事法律關(guān)系的基本特征——平等性、自主性等，但現(xiàn)有規(guī)定帶有行政傾向。例如，《征求意見稿》第9 條規(guī)定，“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當在90個工作日內(nèi)完成個人信息保護合規(guī)審計；情況復(fù)雜的，報經(jīng)履行個人信息保護職責的部門批準后可適當延長”。針對“情況復(fù)雜的”，延長合規(guī)審計期限，需要經(jīng)過監(jiān)管部門批準。換句話說，基于個人信息處理者與專業(yè)機構(gòu)之間被審計與審計的民事法律關(guān)系，延長審計期限需要監(jiān)管部門的“批準”，原本應(yīng)當由民事法律關(guān)系的雙方當事人自主變更的“審計期限”，改為“批準”變更，即行政權(quán)力介入民事法律關(guān)系的運行，使民事法律關(guān)系的平等性、自主性受到影響。再如，《征求意見稿》第11條規(guī)定，“個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當按照專業(yè)機構(gòu)給出的整改建議進行整改，經(jīng)專業(yè)機構(gòu)復(fù)核后將整改情況報送履行個人信息保護職責的部門”。該條款“整改”帶有強制性，即“應(yīng)當按照……整改建議”整改，并將整改情況報監(jiān)管部門。專業(yè)機構(gòu)的審計意見、整改建議原本屬于民事法律關(guān)系的內(nèi)容，一般也屬于雙方自愿協(xié)商的結(jié)果，只屬于約定條款，并非法定的權(quán)利義務(wù)內(nèi)容，不具備強制性，顯然“應(yīng)當……整改”的要求，帶有強制性的行政色彩，突破了當事人之間的民事法律關(guān)系屬性。

專業(yè)機構(gòu)的合規(guī)審計與審計機關(guān)的國家審計并不相同，后者帶有行政執(zhí)法的屬性，審計機關(guān)的審計結(jié)果包括整改建議均具有具體行政行為的典型特點——強制性，且會追究不整改的法律責任③。歸根結(jié)底，專業(yè)機構(gòu)的合規(guī)審計本質(zhì)上仍屬于民事法律行為，不應(yīng)具備法律上的強制性。因此，建議將《征求意見稿》第9條修改為“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當在90 個工作日內(nèi)完成個人信息保護合規(guī)審計；情況復(fù)雜的，經(jīng)個人信息處理者、專業(yè)機構(gòu)協(xié)商延長不超過30個工作日”；將第11條修改為“個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，履行個人信息保護職責的部門審核專業(yè)機構(gòu)的審計報告，要求個人信息處理者進行整改。專業(yè)機構(gòu)復(fù)核整改情況，報送履行個人信息保護職責的部門。拒不整改或者整改不到位的，由履行個人信息保護職責的部門追究相應(yīng)的法律責任”?？梢?，監(jiān)管部門在履行審核專業(yè)機構(gòu)審計報告的職責之后，再依照相應(yīng)的職權(quán)向個人信息處理者下達整改建議，由單純的民事法律關(guān)系變更為監(jiān)管部門與個人信息處理者之間的行政法律關(guān)系，不僅增強了整改建議的權(quán)威性，而且能確保民事法律關(guān)系與行政法律關(guān)系相互獨立，剝離了民事法律關(guān)系的行政傾向。

五、明確審計結(jié)果的具體意見形式

《征求意見稿》第10 條指出，“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當按照本辦法要求組織實施個人信息保護合規(guī)審計，在實施必要合規(guī)審計程序后，及時將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責的部門。個人信息保護合規(guī)審計報告應(yīng)當由合規(guī)審計負責人、專業(yè)機構(gòu)負責人簽字并加蓋專業(yè)機構(gòu)公章”。該條款明確了審計報告生效的形式要求，即“簽字”+“公章”。但關(guān)于審計結(jié)果的實質(zhì)規(guī)定顯然是匱乏和薄弱的，就本質(zhì)而言，個人信息保護合規(guī)審計屬于一項審查、評價的監(jiān)督活動，既然涉及審查、評價，就需要出具相應(yīng)的審計結(jié)果報告，個人信息處理是合規(guī)還是不合規(guī)，抑或是部分合規(guī)、部分不合規(guī)等。雖然審計不是一項完全的保證，但至少能夠給予相應(yīng)的意見和建議，否則相應(yīng)“整改”規(guī)定也無從談起。

與國家審計的行政執(zhí)法性質(zhì)不同，專業(yè)機構(gòu)作為民事法律主體，其審計行為更應(yīng)當符合民事法律活動的特征。因此，專業(yè)機構(gòu)應(yīng)當參照《中國注冊會計師審計準則第1501號——對財務(wù)報表形成審計意見和出具審計報告》相關(guān)規(guī)定④出具審計結(jié)果，專業(yè)機構(gòu)應(yīng)當就個人信息處理活動是否遵守法律法規(guī)、國家相關(guān)規(guī)定的情況形成審計結(jié)果，具體包括：無保留意見——能夠遵守法律法規(guī)、國家相關(guān)規(guī)定；非無保留意見——視遵守或者違反法律法規(guī)、國家相關(guān)規(guī)定的情況或者無法獲得審計證據(jù)的情況以及嚴重程度，分別發(fā)表保留意見、否定意見或無法表示意見。

六、強化審計結(jié)果的公布與運用

在要求委托專業(yè)機構(gòu)開展的個人信息保護合規(guī)審計中，監(jiān)管部門只要求“在實施必要合規(guī)審計程序后，及時將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送”（《征求意見稿》第10 條）。該項規(guī)定中，一方面并未明確是否要公布該審計結(jié)果，另一方面也沒有明確“報送”之后如何運用該審計結(jié)果。實際上，《個人信息保護法》第61條要求履行個人信息保護職責的部門“組織對應(yīng)用程序等個人信息保護情況進行測評，并公布測評結(jié)果”?？梢姡紝徲嫿Y(jié)果不僅屬于監(jiān)管部門履行職責的一種方式，而且有利于增強社會公眾監(jiān)督。此外，《征求意見稿》第11條規(guī)定，“個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當按照專業(yè)機構(gòu)給出的整改建議進行整改，經(jīng)專業(yè)機構(gòu)復(fù)核后將整改情況報送履行個人信息保護職責的部門”。此處“整改”被過度賦予了行政屬性，其原本屬于民事主體之間的自主行為。事實上，“整改”應(yīng)當由監(jiān)管部門做出明確規(guī)定，而非專業(yè)機構(gòu)的權(quán)力職責范圍。另外，對相關(guān)人員進行追責屬于合規(guī)審計結(jié)果的運用問題，也需要進一步明確和細化。

基于此，建議將《征求意見稿》第10 條修改為“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，個人信息處理者應(yīng)當及時將審計報告報送履行個人信息保護職責的部門。履行個人信息保護職責的部門在符合相關(guān)保密規(guī)定的情形下，向社會公開審計結(jié)果”。這一方面可將審計結(jié)果對外公開，以有效接受社會監(jiān)督，另一方面也能夠發(fā)揮警示與教育作用（賈丹等，2022）。并且，監(jiān)管部門應(yīng)當依據(jù)審計結(jié)果對個人信息處理者及相關(guān)人員給予相應(yīng)的處理處罰措施，包括納入誠信建設(shè)體系等，以提高個人信息保護的社會認可度和接受度，同時提高個人信息處理者及相關(guān)人員的違法成本。

七、其他需要完善的內(nèi)容

《征求意見稿》作為一項創(chuàng)新型立法，還有部分條文值得商榷完善。例如，第7 條指出，“個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的，應(yīng)當在收到通知后盡快按照要求選定專業(yè)機構(gòu)進行個人信息保護合規(guī)審計”。此處應(yīng)當明確“盡快”的涵義，建議修改為“10 個工作日”。再如，第14條指出，“專業(yè)機構(gòu)在履行個人信息保護合規(guī)審計職責時不得惡意干擾個人信息處理者的正常經(jīng)營活動”。此處“惡意”作為主觀意愿，在實踐中難以判斷，建議刪除“惡意”二字。

總體來說，《征求意見稿》具有極顯著的開拓意識和時代特色，回應(yīng)了全面依法治國以及數(shù)據(jù)信息保護的基本訴求。如果期望發(fā)揮應(yīng)有的作用，應(yīng)當進一步堅持開門立法、科學立法的基本原則，多方吸納各種有益意見和建議，進而完善《征求意見稿》的基本內(nèi)容，從而發(fā)揮其在個人信息保護領(lǐng)域的應(yīng)有功能。

【注 釋】

①《個人信息保護法》第54條規(guī)定，“個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”。第64條規(guī)定，“履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。個人信息處理者應(yīng)當按照要求采取措施，進行整改，消除隱患”。

②《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第53 條規(guī)定“大型互聯(lián)網(wǎng)平臺運營者應(yīng)當通過委托第三方審計方式，每年對平臺數(shù)據(jù)安全情況等進行年度審計，并披露審計結(jié)果”。第58條規(guī)定，“國家建立數(shù)據(jù)安全審計制度。數(shù)據(jù)處理者應(yīng)當委托數(shù)據(jù)安全審計專業(yè)機構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”。

③《審計法》第52條指出，“審計結(jié)果以及整改情況應(yīng)當作為考核、任免、獎懲領(lǐng)導干部和制定政策、完善制度的重要參考；拒不整改或者整改時弄虛作假的，依法追究法律責任”。

④《中國注冊會計師審計準則第1501 號——對財務(wù)報表形成審計意見和出具審計報告》第11條規(guī)定，“注冊會計師應(yīng)當就財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告編制基礎(chǔ)的規(guī)定編制并實現(xiàn)公允反映形成審計意見”；第17條規(guī)定，“如果認為財務(wù)報表在所有重大方面按照適用的財務(wù)報告編制基礎(chǔ)的規(guī)定編制并實現(xiàn)公允反映，注冊會計師應(yīng)當發(fā)表無保留意見”。

【 主要參考文獻】

陳炎.個人信息處理合規(guī)審計制度的意義、目標與功能［J］.審計觀察，2022（12）：12 ～17.

陳智敏.個人信息保護合規(guī)審計系統(tǒng)構(gòu)建研究［J］.審計觀察，2022（12）：18～22.

賈丹，張譽馨，王姍.我國個人信息保護合規(guī)審計制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17 ～22